1. 概要

 近年、企業を取り巻くサイバー攻撃は高度化しており、FWやIPSなどの従来型の境界防御だけでは防ぎきれないケースが増えています。特に、通常の通信に見せかけた侵入や、侵入後の潜伏・横展開といった攻撃に対しては、境界防御に依存した従来の防御モデルだけでは十分に対応できません。
 こうした状況を踏まえ、企業には境界防御だけに頼るのではなく、侵入されることを前提に、侵入後の早期検知や封じ込めによって被害の拡大を防ぐ「侵害前提防御」への移行が求められています。
 図1は、「CrowdStrike 2026年グローバル脅威レポート」を参考に、マルウェアを使用しない攻撃の割合を示したものです。2022年から2025年にかけて11ポイント増加しており、攻撃者が検知を回避しやすい手法へ移行している傾向がうかがえます。
 本記事では、こうした攻撃の進化を踏まえ、境界防御の限界とSOCを中心とした侵害前提防御の方向性を紹介します。
 

2026_5_secnews1

図1 マルウェアを使用しない攻撃の割合推移

 

2. 事例紹介

 ここでは実際にあった検知が難しい攻撃や脆弱性の事例として、Cisco製品への攻撃と長期間気づかれなかったLinuxの脆弱性「Copy Fail」を紹介します。
 
①Ciscoの事例:国家支援型の攻撃者グループによる境界装置への攻撃
 国家支援型の攻撃者グループUAT-4356が関与したとみられる、Cisco ASA/FTD(VPNやFWなどの機能を備えた企業ネットワークの境界防御を担うCisco社製のネットワークセキュリティ製品)への攻撃が確認されています。
 攻撃者は、脆弱性を悪用してCisco ASA/FTDに不正アクセスし、その後、バックドアFirestarterを展開し永続化を行ったものと考えられます。この攻撃では、制限付きURLエンドポイントに認証なしでアクセス可能となる脆弱性(CVE-2025-20362)と、認証後に任意コード実行が可能となる脆弱性(CVE-2025-20333)の二つの脆弱性が悪用されたことが確認されています。
 今回使用されたバックドアFirestarterは、正規の動作に紛れ込む形で動作するため検知されにくく、基本的にメモリ上で動作するためディスク上に痕跡が残りにくいという特徴があります。さらに、パッチ適用後も永続化機能によってFirestarterが完全には除去されず、機器上に残存するケースが確認されています。
 この事例は、VPN装置やファイアウォールなどの境界装置が依然として攻撃者にとって価値の高い標的であり、境界防御だけでは十分に対応できない可能性があることを示しています。

 Ciscoについては以下のセキュリティニュースもご参照ください。
 「【号外】【更新】注意喚起:Cisco ASAおよびFTDにおける複数の脆弱性
 (CVE-2025-20333、CVE-2025-20362)について」
 (https://www.ssk-kan.co.jp/topics/?p=16283)

②9年間発見されなかったLinuxの脆弱性「Copy Fail(CVE-2026-31431)」
 Copy Fail(CVE-2026-31431)は、約9年前(2017年頃)からLinuxカーネルに存在していたにもかかわらず、長期間発見されていなかった権限昇格の脆弱性です。
 攻撃者はRAM上のページキャッシュのみを改ざんすることで、ディスク上に痕跡を残さずに一般ユーザ権限から管理者権限に昇格できます。本脆弱性は、AIによる数百万パターンのメモリ挙動解析を行う過程で偶然見つかったもので、従来の手法では発見が極めて困難だったため、長期間にわたり残存していた脆弱性です。
 本脆弱性はLinuxカーネルの権限昇格に関する脆弱性であるため、コンテナ環境で悪用された場合、コンテナの隔離を超え、ホストOSや同じサーバ上で動作する他のコンテナにも影響が及ぶ可能性があります。
 侵害を前提とした防御の考え方では、境界での防御に加えて、本脆弱性のような侵入後の活動を検知・抑制することが重要です。そのため、エンドポイント監視や権限管理を含めた多層的な対策が求められます。

 

3. 境界防御と侵害前提防御

 前章で紹介した事例が示すように、従来の境界防御だけでは対応が難しい攻撃が増加しています。そのため、企業には、侵入されることを前提に異常を早期に検知し、被害を最小限に抑える体制が求められています。
 こうした防御の考え方の違いを整理するため、本章では従来の「境界防御」と「侵害前提防御」の特徴を紹介します。

●境界防御
 境界防御とは、図2のように、社内ネットワークと社外ネットワークの境界で通信を制御し、外部から内部への侵入を防ぐことを前提とした防御の考え方です。
 一方で、近年は、攻撃者が正規のログインや通常の操作に見える形で境界を突破し、内部に侵入するケースが増えています。こうした攻撃は正規の通信に紛れやすいため、境界防御だけでは侵入後の異常を検知することが難しい場合があります。
 さらに、現代ではクラウドサービスの利用が一般化したことで、図2のような社内ネットワークを安全な領域、社外ネットワークを危険な領域として分けて考えることも難しくなっています。
 

2026_5_secnews2

図2 境界防御の考え方

●侵害前提防御
 侵害前提防御とは、侵入を完全に防ぐことだけに依存せず、侵入後の異常を早期に検知し、攻撃者の行動を把握・追跡しながら被害の拡大を抑える防御の考え方です。
 以下では、侵害前提防御を支える代表的な要素として、SOCとゼロトラストについて紹介します。

(1)SOCによる監視・検知
 侵害前提防御では、攻撃者が境界を突破した後の異常を早期に検知し、被害の拡大を抑えることが重要と考えられており、社内ネットワークや端末等の状況を継続的に監視するSOC(Security Operation Center)は、侵害前提防御を支える仕組みとして重要な役割を担っています。
 SOCでは、FWなどの境界装置に加えて、EDRやSASEなど複数のセキュリティ製品からのログやアラートを継続的に確認します。さらに、相関分析やAIによる自動分析、脅威インテリジェンスの活用を組み合わせることで、単独のログだけでは見えにくい内部の異常や攻撃者の潜伏を早期に検知し、対応することができます。

(2)ゼロトラストによる継続的な検証
 ゼロトラストとは、図3のように「信頼できる境界」を前提とせず、ユーザ・デバイス・アクセス先、利用状況などを継続的に検証し、必要最小限のアクセスを許可する考え方です。VPNアカウントの乗っ取りやクラウドアカウント侵害のように、従来の境界防御だけでは対応が難しい攻撃に対しても有効です。
 

2026_5_secnews4

図3 ゼロトラストの考え方

 

4. まとめ:境界防御の限界を踏まえた侵害前提防御とSOCの重要性

 近年のサイバー攻撃は、AIにより企業の想定を超える速度と手法で多様化しており「うちは狙われない」という前提は通用しないため、組織の防御体制にはこれまで以上の柔軟性と深い可視性が求められています。
 今回紹介した事例のように高度化・多様化する攻撃に対しては、「侵入されないこと」を前提にした従来の境界防御のみでは対応できません。重要なのは、侵害を前提にいかに早く気づき被害を最小化するかです。SOCを導入することで、企業は24時間体制でシステム全体を監視でき、異常が発生した際に早期に察知でき、被害を最小限に抑えることができます。

 

5. 参考文献

[1]ENISA Threat Landscape 2025
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025

[2]Copy Fail
https://copy.fail/

[3]Cisco FirepowerデバイスがUAT-4356の標的に
https://gblogs.cisco.com/jp/2026/05/uat-4356-firestarter/

[4]CISA reports persistent FIRESTARTER backdoor on Cisco ASA device in federal network
https://securityaffairs.com/191241/hacking/cisa-reports-persistent-firestarter-backdoor-on-cisco-asa-device-in-federal-network.html

[5]Continued Evolution of Persistence Mechanism Against Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03

[6]CrowdStrike 2026 Global Threat Report: The Evasive Adversary Wields AI
https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-global-threat-report-findings/

 

6. SSKの総合セキュリティサービスについて

 SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
 セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
 脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
 デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
 これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。

【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp